KeyCDN が Let's Encrypt に対応したので使ってみた

クラウド
2015.12.20
クラウドクラウド
KeyCDNCDNLet's Encryptクラウド
スポンサーリンク

2015年12月14日 KeyCDN が 無料SSL/TLSサーバー証明書の Let's Encrypt に対応したそうです。Let's Encrypt のパブリックベータ公開から、わずか10日での対応になりますね。これまでは、独自ドメインで、HTTPS(SSL/TLS)な CDN を設定する場合は、別途サーバー証明書を取得する必要がありましたが、この対応により、KeyCDN 側で Let's Encrypt のSSL/TLSサーバー証明書を取得してくれるようになりました。さっそく KeyCDN の Let's Encrypt SSL設定を使ってみました。

  1. KeyCDN の Let's Encrypt SSL 設定
    1. Zone aliases の設定は CNAMEレコードが浸透してから!
  2. DNSサーバへCNAMEレコードを登録
    1. Amazon Route 53 での設定例
    2. CNAMEレコードの浸透確認
  3. KeyCDN の Zone aliases 設定
  4. 終わりに

KeyCDN の Let's Encrypt SSL 設定

KeyCDN の管理画面にログインして「Zones」→「+New Zone」をクリックします。

まずはCDNの基本設定です、下記を入力/選択します。

Zone Name・・・KeyCDN のドメイン名の一部になります。アルファベット小文字のみ使えます。
Zone Status・・・「active」を選択
Zone Type・・・・「pull」を選択
Origin URL (incl. http:// or https://)・・・オリジンサーバのURLを入力。とりあえずこのブログのサーバをオリジンサーバとしました。

続いて「Show Advanced Features」をクリックし、詳細設定画面を開きます。

SSL「letsencrypt」を選択します。また、HTTP → HTTPSリダイレクトを設定している場合は、Force SSL「enabled」を選択してください。

余談ですが、KeyCDNはHTTP/2に対応しています。デフォルトでは無効になっていますので、HTTP/2を使いたい場合は有効「enabled」にしておきます。

ページ下部の「Save」をクリックすればZoneの作成が開始し5分くらいで作成が完了します。SSLが「letsencrypt」になっていますね。次に、独自ドメインのCNAMEレコードを、DNSサーバにを登録しますので「Zone URL」をメモしておきます。

Zone aliases の設定は CNAMEレコードが浸透してから!

続けて「Zone aliases」を設定したくなりますが、SSL「letsencrypt」を設定している場合は、CNAMEレコードが浸透してから「Zone aliases」を追加するように!と公式マニュアルで注意がありますので、ひとまずDNSサーバの設定に進みます。

Create a Zonealias for that zone. Note: If your zone already has a Zonealias, you must either remove it before changing the SSL option to LetsEncrypt or recreate it afterwards. Further, you cannot add a Zonealias if the CNAME record is not fully propagated.

Use LetsEncrypt With KeyCDN to Enable SSL (TLS) より引用

これは、Let's Encrypt のドメイン検証は、該当ドメインに対応するサーバ(今回の場合はKeyCDNのサーバ)に、認証ファイルを作成することが必要なためだと思われます。

DNSサーバへCNAMEレコードを登録

DNSサーバヘ「独自ドメイン」→「Zone URL」のCNAMEレコードを登録します。例えば独自ドメイン名が「cdn-blog.apar.jp」だとすると、以下のCNAMEレコードをDNSサーバに登録することになります。

cdn-blog.apar.jp. IN CNAME aparblog-e61.kxcdn.com.

Amazon Route 53 での設定例

参考ごまでに、Amazon Route 53 での、CNAMEレコードの登録設定です。

CNAMEレコードの浸透確認

登録したCNAMEレコードが、Google パブリックDNSサービス(8.8.8.8)に反映されていれば、浸透していると考えて良いでしょう。

$ dig cdn-blog.apar.jp @8.8.8.8
(略)
;; ANSWER SECTION:
cdn-blog.apar.jp.	299	IN	CNAME	aparblog-e61.kxcdn.com.
aparblog-e61.kxcdn.com.	21599	IN	CNAME	p-jptk00.kxcdn.com.
p-jptk00.kxcdn.com.	59	IN	A	161.202.72.186

dig コマンドが使えない場合は、KeyCDNの DNS Check Tool で確認することができます。ちょっと嬉しいサービスですね。(^^)

KeyCDN の Zone aliases 設定

CNAMEレコードの浸透が確認できたら、KeyCDNの管理画面に戻って「Zone aliases」を設定します。

「Zonealiases」→「+New Zonealias」をクリックします。

「Alias」に独自ドメイン名、Zoneは先ほど作成したZoneを選択して「Add」をクリックします。

以上で設定完了です。WEBブラウザで、KeyCDNにキャッシュされているファイルを表示してみると、証明書の発行元が Let's Encrypt なっていることが確認できました。

終わりに

KeyCDN は Let's Encrypt のスポンサーになっており、こういった形で Let's Encrypt のSSL証明書を提供するのは、KeyCDNが世界初のプロバイダーだそうです。ちなみにスポンサーになるための費用は年間10,000ドル〜350,000ドル、、、KeyCDNさんに感謝しつつ Let's Encrypt のビジネスモデルを垣間見た気がしました。

コメント

タイトルとURLをコピーしました